Фахівці ESET знайшли буткіт, який використовує інтерфейс UEFI для забезпечення присутності в системі і запуску до завантаження операційної системи. Подібні шкідники поки ще залишаються великою рідкістю.
Сталість присутності
Фахівці словацької фірми ESET виявили раніше незадокументований UEFI-буткіт, яким невідомі зловмисники користувалися для встановлення бекдорів у системи на базі Windows.
Буткіт дозволяє модифікувати менеджер завантаження Windows (BootManager) і тим самим забезпечує зловмисникам можливість постійної присутності в системі.
Експерти ESET назвали буткіт ESPecter, зокрема, через те, що він завантажується в незалежний від операційної системи розділ EFI (ESP), де зберігаються завантажувачі або образи ядра, файли драйверів пристроїв та інші критичні дані.
ESPecter також дозволяє обходити систему перевірки цифрового підпису драйверів (Microsoft Windows Driver Signature Enforcement) і довантажувати свій власний непідписаний драйвер, який потім може використовуватися для виконання шпигунських дій, в тому числі, виведення даних, перехоплення сигналів від клавіатури (кейлоггінгу) і періодичного зняття скріншотів.
Виявлено рідкісний UEFI-буткіт з китайськомовними артефактами
Яким саме чином шкідник проникає в систему, поки залишається невідомо. ESET поки не встановив походження угруповання, що стоїть за цим буткітом. Однак в коді виявилися артефакти на китайській мові.
Від BIOS до UEFI
Фахівці ESET встановили, що ESPecter з’явився не пізніше 2012 р. На той момент він використовувався в основному для атак на комп’ютери під Windows зі старими BIOS. Автори шкідливої програми поступово додавали підтримку нових версій Windows, майже нічого не змінюючи в основних модулях шкідника.
Найзначніша зміна відбулася в 2020 р., коли автори ESPecter вирішили переключитися з BIOS-систем на сучасні UEFI.
UEFI – це інтерфейс прошивки між операційною системою і мікропрограмами, які керують низькорівневими функціями обладнання, чиє основне призначення – коректно форматувати обладнання при включенні системи і передати управління завантажувачу або безпосередньо ядру операційної системи.
ESPecter – всього лише четвертий відомий шкідник, атакуючий UEFI, після LoJax, Mosaic Regressor і FinFisher. Остання з цих програм використовує ті ж методи збереження присутності в зараженій системі, що і ESPecter: через модифікацію менеджера завантаження Windows.
Модифікуючи менеджер завантаження Windows зловмисники домагаються запуску шкідників на ранніх стадіях запуску, до того, як операційна система повністю завантажена, – відзначають дослідники. – Це дозволяє ESPecter обходити перевірку підпису драйверів, щоб запускати свій непідписаний драйвер при старті системи.
У старих системах з BIOS ESPecter міняв код головного завантажувального запису (MBR), що розташовується в першому фізичному секторі жорсткого диска з тим, щоб модифікувати менеджер завантаження і завантажити шкідливий драйвер ядра. Цей драйвер, в свою чергу, завантажував додаткові шкідливі модулі і кейлоггер, а потім видаляв себе з системи.
Незалежно від того, який варіант використовується, завантаження драйвера призводить до ін’єкції додаткових компонентів у певні системні процеси і встановлення з’єднання з віддаленим контрольним сервером; фактично скомпрометована система ставиться під повний контроль зловмисників, не кажучи вже про те, що з віддаленого сервера на неї можуть встановлюватися різноманітні додаткові шкідники.
UEFI створювався як новіша і захищена альтернатива BIOS, що враховує недоліки останнього, однак свої вразливі місця є і там. Хоча кількість відомих шкідників, здатних компрометувати UEFI, поки дуже невелика, з часом їх явно ставатиме більше. Занадто ласа мета, а захист часто далекий від ідеалу.
